(限时投稿)实战记录 - 某家政系统存在注入
某家政云系统post注入(万能密码)
1、打开后台
http://www.······.com/worker.php
直接输入1’ or 1=1 — qwe
点击回车。
他就居然进去了。他就进去了。。就进去了。。。是我没想到的
然后敏感信息泄露
知道账号密码
2 、利用谷歌语法信息搜集后台登录界面,找到同样使用这个系统的公司
3 、发现另外一家公司,登录成功
4 、返回主页,发现有一个VIP登录,点进去,登录成功
发现客户的也可以登录,查看信息和消费记录各种敏感信息
进入admin后台
通过这样操作,后面还挖到很多就不演示了。
风哥多来点金币嘛
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 40.00 | 0 | 2021-04-15 11:11:34 | 参与限时投稿活动额外奖励 |
| Track-聂风 | 70.00 | 0 | 2021-04-15 11:11:17 | 同学加油~期待新的文章 |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
Track-聂风
发表于 2021-4-15
看看能不能找到源码,审计一波
评论列表
加载数据中...
a819819
发表于 2021-4-15
我好像也找到这个站了- -
评论列表
加载数据中...